パスワード付きZIPファイルがダメな理由とは？

平井大臣のパスワード付きZIPファイル廃止のニュース

先日ニュースで、平井大臣が、霞が関で、パスワード付きZIPファイルの使用を廃止することを明らかにしました。

今ではだいぶビジネスで浸透しているパスワード付きZIP（通称PPAP）は何がだめなのでしょうか？

ちなみに、PPAPは、以下の略となります。

P:パスワード付きzip暗号化ファイルを送ります

P：パスワードを送ります

A:暗号化

P：プロトコル

 

PPAPがだめな理由

一番の課題は、各企業のメールセキュリティをすり抜けてしまう事にあります。

各社で導入しているセキュリティソフトは、

ウイルスやマルウェアが入っていないかチェックする機能が付いていますが、このPPAPをスルーすることがあります。

実際、Emotetというマルウェアが感染拡大中なのですが、PPAPを使った攻撃事例も観測されています。

 

PPAPのメリットとは

主に誤送信対策でメリットがあるとされていました。

しかし、最近はパスワードを自動で送信する企業が多くなっています。この場合、誤送信してしまえば、パスワードも一緒に誤送信されてしまうはずなので、個人的にはメリットはほぼないのではないかと思います。

 

PPAP廃止後の対策は

こちらの記事では、PPAPをやめた企業の対応策がまとめられています。

平井大臣が宣言した「脱PPAP」がベンチャーで加速、パスワード別送と決別なるか/日経XTECH

 

今後は、クラウドサーバー上のファイル共有で、脱PPAPがすすんでいきそうですね。

 

PPAPの3つの問題点とは？

PPAP（パスワード付きZIPを送り、別メールでパスワードを送る運用）は、長年「セキュリティ対策」として慣習化してきましたが、実際にはほとんど安全性に寄与せず、むしろ有害でさえあります。問題点は次の3つに整理できます。

ポイント
同一経路（同じメール）でパスワードを送るため、メールが盗聴・誤送信されればZIPもパスワードも同時に漏れる。暗号化の意味がほぼない
暗号化ZIPの中身はセキュリティ製品が検査できないため、マルウェアがウイルスチェックをすり抜けて受信者に届く
受信者は解凍・パスワード入力の手間が増え、業務効率が落ちる。送信側のパスワード管理も煩雑になる

 つまりPPAPは、セキュリティを高めるどころか、マルウェアの侵入を助け、業務効率も下げる逆効果の運用です。官公庁や大手企業が相次いで廃止を表明しているのはこのためで、「やっているから安心」という思い込みこそが最大のリスクだと認識を改めることが、

対策の出発点になります。

中小企業はPPAPをどう廃止する？

PPAPは取引先との慣習でもあるため、自社だけ急にやめると相手が戸惑います。混乱なく廃止するには、段階的に進めることが重要です。現実的な手順は次のとおりです。

ポイント
社内でPPAPがどの業務・どの相手とのやり取りで使われているか実態を把握する
クラウドストレージ共有・セキュアファイル転送など、自社に合う代替手段を選定する
社内ルールを「PPAP禁止・代替手段を標準」と改め、手順とともに周知・教育する
主要な取引先へ事前に連絡し、新しい受け渡し方法を案内したうえで運用を切り替える

 ポイントは、技術的な代替ツールの導入だけでなく、社内ルールの変更と取引先への周知をセットで行うことです。代替手段だけ用意してもルールと周知がなければ元の運用に戻ってしまいます。当社は中小企業のメール運用・ファイル授受の安全化を、

実態把握から代替選定・ルール整備・定着まで伴走支援しています。

脱PPAPチェック

PPAPとは、パスワード付きZIPファイルをメールで送り、その後に同じ経路で解凍パスワードを別送する、慣習化したファイル授受の運用のことです。

長年セキュリティ対策とされてきましたが、実際には同一経路でパスワードを送るため盗聴・誤送信時にZIPもパスワードも同時に漏れ暗号化の意味がほぼないこと、暗号化ZIPの中身をセキュリティ製品が検査できずマルウェアがウイルスチェックをすり抜けること、

受信者・送信者双方の手間が増え効率が落ちることから、安全性を高めるどころか有害な運用とされています。

官公庁や大手企業が相次いで廃止を表明しており、代替はクラウドストレージ共有やセキュアファイル転送が推奨されます。

廃止は技術的な代替導入だけでなく、社内ルールの変更と取引先への事前周知をセットで段階的に進めることが、元の運用に戻さない要点となります。

 以下に、押さえるべき要点とその内容を整理します。

項目	ポイント	解説
問題	同一経路で無意味	盗聴・誤送信でZIPもPWも同時に漏れる
検査	ウイルス検査回避	暗号化ZIP内のマルウェアを検知できない
代替	クラウド共有等	セキュアファイル転送・共有リンクへ
手順	把握→選定→周知→切替	ルール変更と取引先周知をセットで
対象外	FAX等は別途検討	ファイル授受以外の経路も併せて見直す

より詳しい一次情報は公式の解説もあわせてご確認ください。

IPA 情報セキュリティ（一次情報） ➡

この記事のよくある質問（FAQ）

本記事に関して、よく寄せられる質問をまとめました。

Q. PPAPはなぜ問題ですか？

A. パスワード付きZIPを別送する方式は、ウイルス検査をすり抜けやすく、安全性が低いためです。情報漏えい対策としても不十分です。

Q. 代替手段は何ですか？

A. アクセス権を管理できるファイル共有やストレージ、安全な受け渡しサービスの利用が代替になります。送信前提を見直します。

Q. 法的に禁止ですか？

A. 法律で一律禁止というより、安全性の観点で見直しが推奨される運用です。取引先要件や自社方針として廃止を進めるのが妥当です。

Q. 中小企業はどう移行しますか？

A. 共有方法を決め、社内・取引先へ周知し、段階的に切り替えます。相手の運用も関わるため、案内と移行期間の設計が重要です。

関連情報・お問い合わせ

お問合せはこちら➡

株式会社アーデントは、デジタル化・AI導入補助金の支援事業者を行っております！

アーデントからデジタル化・AI導入補助金を使ってクラウドツールを導入するメリットは以下の通りです。

メリット①対象ツールを２年間、半額、もしくは１／４で利用可！

メリット②会計、経費精算、請求書処理、受発注ツール導入なら、PCやタブレットの購入も補助が受けられ半額！

メリット③補助期間終了後は、公式価格よりお値引き！

メリット④各種IT活用、DX、保守サポートでより貴社のIT化を促進、生産性を向上します！

【弊社取り扱いクラウドツール】

🔹オフィスソフト・グループウェア: 　Google Workspace※、Microsoft365、desk'nets NEO※
🔹ノーコード業務改善：kintone、Zoho※、楽楽販売、JUST.DB※、サスケworks
🔹コミュニケーション: 　サイボウズオフィス、Chatwork、LINE WORKS、zoom
🔹会計・経費管理: 　マネーフォワード、freee、楽楽精算、楽楽明細、楽楽請求、invox
🔹電子契約・文書管理:　 freeeサイン、クラウドサイン、GMOサイン、Adobe Acrobat
🔹セキュリティ対策: 　sophos、SentinelOne、ESET、ウイルスバスタークラウド
🔹バックアップ: 　syscloud、Avepoint
🔹RPA・自動化: 　RoboTANGO、DX-Suite、Yoom※、バクラクシリーズ
🔹勤怠・労務管理: 　勤革時、楽楽勤怠、マネーフォワード
🔹物流・在庫管理: 　ロジザードZERO
🔹教育・マニュアル作成管理:　 iTutor、NotePM、leaf
🔹PBX・電話システム: 　INNOVERAPBX※、MOTTEL※
🔹端末管理：LANSCOPE、clomo
🔹リモートデスクトップ：RemoteOperator在宅
🔹受付ipad：ラクネコ※
🔹タスク管理、その他：Adobe creative cloud、Noota、JOSYS、backlog※
など

※こちらのツールは補助期間終了後の値引不可

また、上記以外のツールも取り扱いできるものが多々ありますので、一度ご相談ください。

デジタル化・AI導入補助金2026の詳細、お問合せはお電話頂くか、以下の記事を御覧ください↓

デジタル化・AI導入補助金お問合せ：03-5468-6097

以下の動画では、採択のポイントや申請にあたっての注意点などを詳しく解説していますので、
あわせてご覧ください！